 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
マイクロソフト、セキュア開発ライフサイクルなどの取り組みを説明 |
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
製品の安全化のほか、産学官連携による取り組みも重視
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
Trustworthy Computingは、2002年1月から始まったマイクロソフト全社をあげての取り組み。「Security」「Privacy」「Reliability」「Business Practices」の4つを柱に、本質的な共通技術基盤やプロダクトライフサイクルなどが検討されている。 これを基に同社では、多層的・統合的なセキュリティ技術やセキュアなプラットフォームの開発を軸とした「テクノロジー」面でのセキュリティ対策を進めてきた。その代表例となるのが、「セキュアな設計(Secure by Design)」「セキュアな初期設定(Secure by Default)」「セキュアな展開(Secure by Deployment)」から構築される「Security Development Lifecycle(SDL)」という考え方。 SDLは、どうやって製品を安全にするかの方針となるもので、高橋氏は「これを全面的に採り入れたWindows Vista(以下、Vista)は、Windows XP(以下、XP)と比較して、リリース後、最初の1年間に公表された脆弱性の数はおよそ半分くらいにとどめることができた。2007年中に公表された脆弱性を比べても、この時点でリリース後4年が経過していたXPより、Vistaの方が低い数にとどまっている」と、その成果を語る。
サイバークリーンセンターでは具体的に、「アジア最大級」(高橋氏)というハニーポッドを使ってボットの検体を収集。その解析結果から、ボットごとの駆除ツールを作成するほか、ボットの送信元となっていたユーザーへ通知を行い、駆除ツールの利用を促進しているという。 日本データ通信協会 Telecom-ISAC Japan、企画調整部長の有村浩一氏は、「100%この成果とは言い切れないが、日本ではボット感染者数が少ない。2005年から2008年にかけてブロードバンドユーザーは格段に増えているにもかかわらず、感染者数は逆に若干減っている」と語った。 また、マイクロソフトでも面白い調査結果を公開している。世界各国のマルウェア感染状況をサーモグラフィによる温度分布のように示した調査結果で、これによると、マルウェアの感染率は世界的に確実に上がっている一方で、日本は増加率が低いのだ。それだけでなく、現在のマルウェア検出率を見ても日本が世界でもっとも低いという。高橋氏は「これも理由を一概にはいえないが、当社の取り組みの効果も大きいのではと考えている」と胸を張った。
「Trustworthy Computingの取り組みを今後も継続していく。しかし、脆弱性は大幅に減少したが、完全になくなることはないし、またVistaに採り入れられたような多層防御でも、攻撃を根絶することはできない。ただユーザーが何かをする際に、それが安全と感じればオンラインの活動は増加するのは確か。今後は“信頼に関する適切な判断”を行えることが重要になるだろう」。 そのためには、「ID請求」「認証」「権限付与」「アクセス制御」「監査」など既存の技術機構を、よりシステマチックに連携させていく必要があるという。「その上で、信頼できるデータ、信頼できる人物、信頼できるソフト、信頼できるハード、といったトラステッドスタックをしっかり組み上げていかなくてはならない」(高橋氏)とし、「これらは技術的には難しいことではないのだが、問題は社会的要請、経済的影響、政治・立法とどうかかわり、どう折り合いを付けていくかが最大の課題となるだろう」(高橋氏)とした。
■ URL マイクロソフト株式会社 http://www.microsoft.com/japan/
( 川島 弘之 )
|
